※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 暗号資産のハッキングは依然として根強い脅威であり、過去10年間でそれぞれ10億ドル以上の暗号資産が盗まれています(2018年、2021年、2022年、2023年)。2024年は、この厄介なマイルストーンに到達してから5年目となり、暗号資産の普及と価格の上昇に伴い、盗まれる金額も増加していることを浮き彫りにしています。 2024年には、盗まれた資金は前年比(YoY)で約21.07%増の22億ドルに達し、個別のハッキング事件の件数は2023年の282件から2024年には303件に増加しました。 興味深いことに、暗号資産のハッキングの激しさは年の中頃にシフトしました。当社のMid-Year Crime Updateで、2024年1月から7月までの累計盗難額がすでに15億8000万ドルに達し、2023年の同期間の盗難額を約84.4%上回っていることを指摘しました。下の図に示されているように、7月末までの時点では、2021年と2022年の30億ドル超に匹敵する年になる可能性が十分にありました。しかし、2024年の上昇傾向は7月以降に大幅に減速し、その後は比較的安定した状態が続きました。この変化の地政学的な理由については、後ほど詳しく見ていきます。 被害に遭ったプラットフォームの種類別に見た盗難額についても、2024年には興味深いパターンが見られました。2021年から2023年のほとんどの四半期において、暗号資産のハッキングの主な標的は分散型金融 (DeFi) プラットフォームでした。 開発者が急速な成長と市場への製品投入を優先し、セキュリティ対策の実施を後回しにする傾向があるため、DeFiプラットフォームは脆弱になりやすく、ハッカーにとって格好の標的となっている可能性があります。 2024年第1四半期には、盗まれた資産の大部分を分散型金融(DeFi)が占めていましたが、第2四半期と第3四半期には、中央集権型サービスが最も標的となりました。 最も注目すべき中央集権型サービスのハッキングには、DMMビットコイン(2024年5月、3億500万ドル)とWazirX(2024年7月、2億3490万ドル)が含まれます。 分散型金融(DeFi)から中央集権型サービスへのこの焦点のシフトは、ハッキングで一般的に悪用されるメカニズム、例えば秘密鍵の保護の重要性の高まりを浮き彫りにしています。2024年には、盗まれた暗号資産の43.8%が秘密鍵の侵害によるものでした。中央集権型サービスでは、ユーザーの資産へのアクセスを管理しているため、秘密鍵のセキュリティを確保することが極めて重要です。中央集権型取引所はユーザーの資産を大量に管理しているため、秘密鍵が侵害された場合の影響は甚大なものとなります。3億500万ドル相当のDMMビットコインがハッキングされた事件は、現在までに発生した暗号資産の侵害事件の中でも最大規模のものの1つであり、秘密鍵の管理ミスや適切なセキュリティ対策の欠如が原因で発生した可能性もあります。 秘密鍵を侵害した後、悪意のある行為者は、トランザクションの痕跡を分かりにくくし、追跡を複雑にするために、分散型取引所(DEX)やマイニングサービス、またはミキシングサービスを通じて盗んだ資金を洗浄することがよくあります。2024年には、秘密鍵を盗んだハッカーによる資金洗浄活動は、他の攻撃ベクトルを利用するハッカーによる資金洗浄活動とは大きく異なることが分かるでしょう。例えば、秘密鍵を盗んだ後、これらのハッカーは、ブリッジやミキシングサービスを利用することが多くありました。他の攻撃ベクトルでは、資金洗浄にはDEXの方がより多く利用されていました。 2024年の暗号資産ハッキングの傾向、北朝鮮の活動、Hexagateが機械学習モデルを使用して不審なハッキング行為を事前に検出するケイパビリティについて、詳しく知りたい方は、引き続きお読みください。Hexagateは最近、Chainalysisによって買収されました。 2024年の北朝鮮のハッカー集団による暗号資産取引所の被害額は過去最大級に 北朝鮮とつながりのあるハッカー集団は、高度で執拗な諜報活動で悪名高く、国家が支援する活動の資金調達や国際制裁の回避を目的に、高度なマルウェア、ソーシャルエンジニアリング、暗号資産の盗難を頻繁に利用しています。米国および国際当局は、平壌が盗んだ暗号資産を大量破壊兵器および弾道ミサイル計画の資金調達に利用し、国際安全保障を脅かしていると評価しています。2023年には、北朝鮮関連のハッカーが20件の事件で約6億6,050万ドルを盗み、2024年には47件の事件で13億4,000万ドルが盗まれ、盗まれた金額は102.88%増加しました。これらの数字は、その年に盗まれた総額の61%、総事件数の20%を占めています。 昨年の報告書では、北朝鮮が20件のハッキングで10億ドルを盗んだと発表しました。さらに調査を進めた結果、以前は北朝鮮の犯行と断定していた大規模ハッキングの一部は、もはや関連性がない可能性が高いと判断し、6億6,050万ドルに減少しました。しかし、北朝鮮によるものと特定されたその他の小規模ハッキングを特定したため、事件の総数は変わりません。当社は、新たなオンチェーンおよびオフチェーンの証拠を入手するにつれ、北朝鮮関連のハッキング事件の評価を常に再評価していく方針です。 残念ながら、北朝鮮による暗号資産攻撃はますます頻繁になっているようです。以下の図では、エクスプロイトの規模別に北朝鮮による攻撃成功までの平均時間を調査し、すべての規模の攻撃で前年比の減少が見られることが分かりました。特に、5000万ドルから1億ドルの攻撃と1億ドルを超える攻撃は、2023年よりも2024年の方がはるかに頻繁に発生しており、北朝鮮が大規模なエクスプロイトをより巧みに、より迅速に行うようになっていることを示唆しています。これは、過去2年間とは対照的であり、その間は、エクスプロイトごとの利益は5000万ドル未満となることが多くありました。 北朝鮮の活動を、当社が測定した他のすべてのハッキングと比較して調査したところ、過去3年間、北朝鮮がほとんどの大型エクスプロイトの責任を一貫して担っていることが明らかになりました。興味深いことに、2024年も北朝鮮によるエクスプロイトの支配は続きましたが、1万ドル前後の低額ハッキングの件数も増加しています。…
2023/11/30に米国及び日本もKimsukyに対する経済制裁を実施 2023年11月30日(日本時間12月1日)、米国の外国資産管理局(OFAC)と日本の外務省は、韓国外交部と共にKimsukyを制裁対象に指定しました。米国財務省はこの制裁に関するプレスリリースの中で、Kimsukyのサイバースパイ活動や北朝鮮の核兵器開発を支援する役割をハイライトしています。これら3カ国はいずれも、北朝鮮の核兵器プログラムに関連する、他の一連の個人や団体にも制裁を科し、オーストラリア外務省もその一部に対し措置を行いました。 OFACのKimsukyに対する制裁対象者リストの項目には、識別子としていくつかのウェブサイトと電子メールアドレスが含まれていましたが、6月の韓国による制裁指定とは異なり、暗号資産のアドレスの明示はありませんでした。 以下の元記事で詳説しているように、Kimsukyの暗号資産の使用方法は、Lazarus Groupのような他の北朝鮮グループによるハッキングとは異なります。Kimsukyは、暗号資産を直接盗み出し北朝鮮政府の資金源に当てているのではなく、マイニングや半合法的なサービス、あるいは恐喝キャンペーンのような悪質な活動を通じて暗号資産を入手し、それを主に政権のための情報収集に重点を置いた他の活動の資金源に充てています。ProofpointのSenior Threat ResearcherであるGreg Lesnewich氏は、Kimsukyの暗号資産関係する活動の詳細と、今日の国際的な取り組みが非常に重要である理由について、次のように述べました。 「他の北朝鮮の活動とは異なり、Kimsuky傘下の一団は、戦略的な情報収集を支援するために、暗号資産を使用して独自の活動資金を調達している。北朝鮮が暗号資産を入手・利用しようとする方法は多様化し、テンポも速くなっている。」 元の記事 2023年6月1日、韓国外交部は、北朝鮮のハッキンググループKimsukyを経済制裁の対象とし、それに関連する2つの暗号資産アドレスを特定しました。外交部は大韓民国国家情報院及び警察庁、そして米国の連邦捜査局(Federal Bureau of Investigation: FBI)、国務省(Department of State)、国家安全保証局(National Security Agency: NSA)と連携し、北朝鮮のサイバー諜報活動に関連する勧告を共同で発表しました。…
歴史的なロシア・北朝鮮の首脳会談があったなか、オンチェーンデータが不穏な情報を示しました。北朝鮮系のハッキンググループが不正な暗号資産のロンダリングのために、ロシアの取引所をますます利用しているということです。 この動きは、サイバー戦争における北朝鮮の策略について警鐘を鳴らすものです。まもなく発表予定の国連レポートでは、北朝鮮は、国が支援する世界の暗号資産や金融機関を狙うハッキンググループによるますます巧妙なサイバー攻撃によって、核兵器開発の資金を得ていると指摘されています。 Chainalysisのデータでは、Harmony Protocolから窃取された2,190万ドル相当の暗号資産が、違法取引を行っていることで知られるロシアの取引所に最近移されたことが観測されました。さらに、北朝鮮のエンティティは取引所を含むロシア系サービスをマネーロンダリングの目的で2021年から利用していることもわかっています。このような動きは、サイバーの裏社会でのロシアと北朝鮮の連携がますます強まっていることを示しています。 以下のChainalysis Reactorのグラフでは、Harmonyから盗まれた資金の一部がロシアの取引所に移転したことを示します。 この情報は北朝鮮とロシアのサイバー犯罪者達の強い連携と共に、世界の当局が抱える困難も表しています。ロシアは国際的な法執行機関に対し非協力的な姿勢をとっているため、ロシア系取引所へ送られた盗難資金の差押えの見込みを立てるのは非常に困難といえます。これまでに北朝鮮が利用してきた主要な取引所は多くの場合協力的であるものの、ロシアの取引所や法執行機関がコンプライアンスに準拠していないことがデータでわかっており、このことが資産の差押えの可能性を著しく下げています。 2023年の北朝鮮による暗号資産ハッキングによる被害額 マネーロンダリングの手口の変化が新たな複雑性を生んでいる一方で、北朝鮮によるハッキングには、第三四半期の終わりに近づいている今、逆説的なトレンドがあります。Chainalysisのデータによれば、北朝鮮によるハッキングによる昨年の被害総額は16.5億ドルでしたが、現時点で今年の被害総額は3.4億ドル超程度です。 ただ、金額ベースでは、昨年よりも北朝鮮系ハッカー資金の窃取のペースが落ちていますが、2022年は極めて盗難資金の総額が大きかったこともあり、それを超えるのは非常に難しいともいえるでしょう。 これまでの盗難資金の累計額は35.4億ドル相当となり、北朝鮮はハッキング活動の巣窟であり、今だにサイバー犯罪の世界における最大の脅威であり続けています。 今年北朝鮮が関与したハッキングによる盗難資金の総額は、今年の全体の事案の被害額のうち29.7%程度であり、2022年ほどの高い割合ではありません。 2022年の教訓: 北朝鮮のサイバー脅威は未だ継続 ハッキングによる被害総額の減少は成功の兆しとも言いたくなるかもしれませんが、2022年の被害総額がただ極めて大きかったということは忘れてはなりません。昨年は、Lazarus Groupが関与していたものも含め、多くの大規模事案が顕著に発生しいました。最も特筆すべきなのは、Play-to-Earnゲームとして人気のAxie Intifityが作ったサイドチェーンであるRonin Networkを狙った攻撃です。この事案では約6億ドル相当もの暗号資産が盗まれるという甚大な被害をもたらしました。今年の被害総額が昨年に比べ小さいことは、セキュリティの向上やサイバー犯罪の活動が減った結果とは必ずしも言えないでしょう(とはいえ、コード監査によるセキュリティ対策には気を使うべきですが)。 実際のところ、あと大規模事案が今年さらに1件発生すれば、2023年の被害総額は10億ドルのボーダーを超えることになります。オンラインでは物事が速く動きます。大規模な攻撃も一夜にして実現されます。政府機関はますます複雑化し危険性の高まる暗号資産犯罪への対策について注力すべきでしょう。 ブロックチェーン上の犯罪との戦い…
資金洗浄をもくろむサイバー犯罪者は、クロスボーダーの即時送金が可能なことや擬似匿名性に目をつけ、暗号資産を利用することが多々あります。2022年だけでも、Chainalysisは、サイバー犯罪者による違法資金が合計で238億ドルにのぼると見ています。ただし、この数字は、ランサムウェアや取引所ハッキング、暗号資産詐欺といった、暗号資産に元から密接に関わる犯罪に紐づくアドレス群から得られたものにすぎません。ほとんどの場合、この数字には、いわゆる「オフチェーン」で行われた犯罪(元々は暗号資産との関わりがない犯罪)からの資金洗浄に使われた暗号資産のケースは含まれません。 その手のオフチェーンのアクティビティを広範に捉えることは困難です。なぜなら、(明確な識別情報やコンテクストなしに)暗号資産アドレス間の資金移動を単に見るだけでは、それが違法ではない普通の取引と区別がつかないからです。しかしながら、そのようなオフチェーン犯罪に紐づく暗号資産の利用や、捜査官が当社ツールを使ってそのような犯罪資金を追跡しているという事実はあります。さらに言えば、当社の民間事業者のユーザが、そのような疑わしいアクティビティやそれに関連するアドレスやトランザクションを当社に情報共有し、それを当社や他のユーザの調査に活かせるよう、当社の識別情報に反映させることもあります。 Chainalysisを利用している日本最大手の暗号資産交換業者から情報提供頂いた事案の一例は、まさにこのことを物語ります。その暗号資産交換業者が警察からアカウントにて違法資金の日本円入金があったと照会を受けて調査したところ、その資金が暗号資産に換えられて出金されていたというものです。本記事では、オンチェーンでのマネーロンダリング手法を解説したうえで、そのような事案に対しどのように暗号資産交換業者が手を打つべきなのかを論じます。 日本で発生しているオンチェーンでのマネロンの動き ここで取り上げる疑わしいアクティビティは、当社ユーザである暗号資産交換業者(取引所)からの情報提供により判明したものです。元々その取引所は、アカウントが詐欺による資金の受け口になっていると法執行機関から照会を受けていました。その詐欺の詳細については正確にはわからないものの、近年日本国内で問題となっている特殊詐欺に関連するものと推定できます。例として、区職員を騙った詐欺や保険を騙った詐欺、そして闇バイトの問題などは、これまでニュースで取り上げられてきています。 この事案に関わった犯罪グループは、違法に得た日本円を暗号資産に換えたあと、複数のプライベートウォレットに送り、最終的には現金化が可能な他の取引所に移しています。この動きは、以下のChainalysisのグラフで見てとれます。 このグラフの左上部分に着目すると、この事案を報告した取引所から一連のプライベートウォレットへの資金移動が見られ、一般的なマネーロンダリング手法である「プレイスメント」や「レイヤリング」のような動きと捉えられます。これらはその取引所が当社に情報提供したアドレスのトランザクションであり、不正アカウントに紐づくものです。当社はこれまでにこのような特殊詐欺の資金の第一ホップとなるプライベートウォレットを識別していますが、こうすることによって、他の国内取引所も識別済不正アドレスへの送金ユーザを検知しやすくなります。 起点である取引所から出金される際、その資金は複数の中間ウォレットに拡散され(グラフのStep 1、2から見てとれるレイヤリングの動き)、その後たった一つのプライベートウォレットに集約されています(Step 3)。このように、多数のウォレットに一度拡散した資金が、その後一点に集約されるのは、当社が観測している過去の事例からみても、典型的なマネーロンダリングのパターンといえます。そこから、資金はさらに多数のウォレットに送られますが(Step 4)、おそらく現金化のために最終的には主要取引所のたった一つの入金アドレスに集約されています(Step 5では、マネーロンダリングの「インテグレーション」として知られる手法が見てとれる)。 マネーロンダリングの目的で取引所アカウントを用意するのは真新しいことではありません。日本では、あるネット銀行が、新規口座開設から1ヶ月間は暗号資産交換業者への日本円送金を制限するという措置をとっています。また、日本サイバー犯罪対策センター(JC3)は、このような犯罪についての注意喚起及び手法の解説を最近発表しました。 警察・金融機関・暗号資産交換業者間の連携 今回のケースは、警察や銀行、暗号資産交換業者、そしてChainlysisの間での強い連携を示した事例です。今後も、犯罪の発生場所がオンチェーンであるかどうかに関わらず、暗号資産に関連する犯罪に対抗するための組織間連携はますます重要となるでしょう。当社としても、関連情報を関係組織に適切に提供し、製品やデータの質を継続的に向上させていきます。 This website contains links to…
2023年4月24日、米国財務省外国資産管理局(Office of Foreign Assets Control :OFAC)は、北朝鮮の大量破壊兵器やミサイルへの資金供与に関わるマネーロンダリングに関与し、中国で活動していた3名を経済制裁の対象に指定しました。制裁対象となった3名のうち、制裁対象リストに暗号資産アドレスが含まれるのは2名です。また、米国法務省(Department of Justice: DOJ)は、そのうちの1名を同日公開された訴状にて起訴しました。 本ブログ記事では、3名の被疑者と制裁措置の詳細について説明し、北朝鮮による暗号資産のマネーロンダリングのプロセスについての新たな情報を取り上げます。 告訴及び制裁措置の対象となったのは何者か? OFACによって経済制裁の対象となったのは、Wu Huihui(Wu)、Cheng Hung Man(Cheng)、Sim Hyon Sop(Sim)の3名です。このうち、Simはマネーロンダリングの疑いで、DOJに起訴されています。 Wuは、中国で活動する暗号資産OTC(相対取引)トレーダーであり、北朝鮮のサイバー犯罪組織であるLazarus Groupと活動する北朝鮮のアクターのために、窃取された数百万ドル相当の暗号資産を法定通貨に換えていました。 Chengは、香港で活動するOTCトレーダーで、Wuの活動に直接協力していました。ダミー会社を使い、ChengとWuは、北朝鮮が米国の経済制裁をかいくぐり、暗号資産(その多くはハッキングで盗難されたもの)を法定通貨に換えるのを支援しました。…
暗号資産関連の犯罪で今最も問題の一つとなっているのは、DeFiプロトコルや特にクロスチェーンブリッジからの資金流出であり、近年被害が急激に増加しています。被害額ベースで、DeFiプロトコルから窃取された資金の多くは北朝鮮系のアクターによるもので、特にハッキングの精鋭部隊であるLazarus Groupが関与しているとみられます。Chainalysisでは、2022年の現時点までに、北朝鮮系グループがDeFiプロトコルから摂取した暗号資産の総額は約10億ドル相当になると推定しています。 しかし、本日2022年9月8日、私はAxie Infinity主催のイベントAxieCoinに参加し、良いニュースをお伝えする機会がありました。法執行機関と暗号資産業界の諸団体の協力により、北朝鮮系ハッカーによって盗まれた3000万ドル相当の暗号資産を差し押さえることに成功しました。これは北朝鮮グループによる盗難資金を差し押さえた初めてのケースですが、今後もこのような成功事例が出てくることでしょう。 これは、2022年3月に発生した、Ronin Network (play-to-earnゲームAxie Infinityのサイドチェーン)からの6億ドル相当の暗号資産の盗難事件における、我々の調査の成果です。Chainalysis Crypto Incident Response Teamが、高度な追跡技術によって盗まれた資金の流出先を突き止め、法執行機関や業界のプレイヤーとの連携により、この資産差押えに寄与することができました。 今回の差押えは、(流出時点と差押時点の価格差も考慮すると)Axie Infinityからの盗難資金の約10%ですが、犯罪者が不法に得た暗号資産を現金化するのが一層困難になっていることを示した一例と言えるでしょう。適切なブロックチェーン分析ツールの活用により、一流の調査員やコンプライアンス専門家達が最も洗練されたハッカーやマネロン関与者を食い止められることが証明できました。まだまだやるべきことはあるにせよ、これは暗号資産のエコシステムをより安全にするための我々の努力の一つのマイルストーンとなりました。 さて、この資金差押えはどのようにして行われたのでしょうか。以下にお伝えできることを示します。 Ronin Bridge事件の発生経緯と盗難資金の動き Lazarus Groupによる攻撃の発端は、Ronin Networkのクロスチェーンブリッジのトランザクションバリデータが管理する9つの秘密鍵のうち5つへのアクセスを得たことです。バリデータの過半数の秘密鍵を利用することで、2件の送金トランザクションが成立し、173,600…
暗号資産市場にとって2022年上半期(1~7月)はこれまでのところ、激動の展開となっています。5月と6月には、暗号資産全体で大幅な価格の下落が見られました。8月初旬の時点が底値と言えるかは分かりませんが、7月の価格は比較的安定しており、Bitcoinは2万ドルから2万4,000ドルの価格で推移しました。では、こうした市場の低迷が、違法な暗号資産の動向にどんな影響を与えているのでしょうか? 2022年上半期の暗号資産の総取引額は、違法、及び正当な(適法)エンティティのいずれも2021年の同時期の総取引額を下回っています。全体としては、犯罪行為の方が価格下落の影響を受けづらいように見受けられます。違法な取引額が前年比15%の低下に留まる一方で、合法な取引額は36%も落ち込んでいます。しかし、集約したデータだけで全てを語ることはできません。暗号資産関連犯罪を形態別に詳しく調べると、2022年になって全体でみると市況全体より減少しているものの、増加している犯罪も存在します。以下では、その両方の例を取り上げ、犯罪者が市況に対してどのように反応したか、そしてその理由について考察します。 2022年になって減少した違法行為 詐欺 2022年上半期に詐欺行為(スキャム)によって不正に得られた現在までの収益は16億ドルで、2021年同期比では65%の減少となっています。この減少は、通貨全体の価格の下落に連動しているように見受けられます。 2022年に入り、詐欺行為によって得られた収益は、Bitcointの価格とほぼ一致する形で減少しています。また、下図のように、減少しているのは詐欺による収益だけではありません。2022年上半期の詐欺行為に対する累積入金件数は、過去4年間で最も低くなっています。 これらの数字からは、暗号資産関連の詐欺に遭う人が、今までになく減少していることが推察されます。理由の1つとして考えられるのは、(通常、莫大な利益が約束された受動的な暗号資産投資の機会となる)暗号資産関連の詐欺行為が、資産価格の下落によって、詐欺の対象として狙われる被害者側にとっても魅力的ではなくなっているという点です。また、価格上昇時に詐欺に遭う可能性が高い、経験の浅い新規ユーザーが、誇大広告や素早く収益を確保できるといった口車に乗せられるのとは対照的に、価格が下落している現在、そのような詐欺の手口に騙されるユーザーも減少していると考えられます。 さらに、2019年に被害者から20億ドル以上を稼いだPlusTokenや、2021年に15億ドル以上を稼いだFinikoなど、桁外れに大規模な詐欺によって、詐欺の収益全体が大きな影響を受けている点にも留意する必要があります。2022年の現時点までに判明した詐欺は、いずれのレベルにも達していません。 2022年の詐欺 トップ3 2021年の詐欺 トップ3 詐欺の名称 7月までの総収益額 詐欺の名称 7月までの総収益額 JuicyFields.io 2億7,393万5,606ドル Finiko 11億6,411万5,620ドル…
※本ブログ記事は、「State of Web3 Report」のプレビューです。 世界に大きな利益をもたらす、どのような新しいテクノロジーであっても、悪意ある人物が自らの利益のために悪用する可能性があります。そのようなテクノロジーに関与する業界のオペレーターは、新たなユーザーがテクノロジーを安心して採用し業界が成長し続けられるよう、時には公共機関の助けを借りながら、悪用を根絶するための取り組みを行う必要があります。こうした努力によって時間の経過と共に、新たなテクノロジーを悪用するケースは減っていくと期待されます。このような前向きな進展が、まさに暗号資産において見られました。 注記:2019年の違法行為の割合が突出しているのは、PlusTokenポンジ・スキームが主な要因と考えられる 暗号資産ベースの犯罪は依然として解決すべき重要な問題です。特に全体的な取引量の増加は、違法な取引の額も上昇していることを意味します。しかしながら違法な活動が暗号資産エコシステムの中で占める割合はここ3年でだいぶ低くなってきています。 しかし、過去に暗号資産全体が違法行為の拡大に苦しんだように、この2年間では、DeFiが違法行為の拡大に苦しめられるようになっています。 違法なDeFi取引は、時価総額、総取引額に占める割合について、どちらも過去3年間にわたり拡大し続けています。このような状況は、ハッキングによる資産の盗難と、DeFiプロトコルの不正利用によるマネーロンダリングという2つの領域で顕著に見られます。それでは、この2つについて詳しく見ていきましょう。 DeFiプロトコルがハッキングにおける格好のターゲットに DeFiプロトコルにおける盗難金額は、2021年の初めから上昇傾向が見られ、Ronin BridgeやWormhole Networkに対するハッキングがこれに拍車をかけ、2022年の第1四半期には過去最高の水準に達しました。 事実、2021年には、DeFiプロトコルが暗号資産を窃取しようとするハッカーの格好の標的となりました。 2020年当初以降、暗号資産プラットフォームでの盗難資産に占めるDeFiプロトコルの割合は急速に拡大し、2021年には窃取された資産の大部分を占めるようになっています。5月1日時点で、2022年に入ってから盗まれた16億8,000万ドル相当の暗号資産の97%は、DeFiプロトコルで占められています。 さらに悪いことに、DeFiプロトコルから窃取された暗号資産は、特に2022年に、北朝鮮政府に関連するハッキンググループへと流れていました。 北朝鮮のハッカーは、DeFiプロトコルのハッキングだけで、2022年に入って既に過去最高となる8億4,000万ドルを超える暗号資産を窃取しています。(北朝鮮のハッカーは、DeFiプロトコルに限らず、中央集権的なサービスなどに対するハッキングを行っている可能性もあり、全てがDeFiプロトコルを対象としているとは断定できません。)DeFiプロトコルでのハッカーに対する防御策強化を検討する場合、DeFiの継続的な成長に向けては、ユーザーとの信頼関係を構築するだけでは済まないことは、データから明らかです。北朝鮮関連のハッキンググループによって盗まれた暗号資産が、大量破壊兵器の開発支援に使用されていることを考えれば、これは国際安全保障上の問題でもあります。 DeFiを悪用したマネーロンダリングも増加傾向 マネーロンダリングもまた、深刻な問題です。過去2年間、違法なアドレスからサービスに送金される資産に占めるDeFiプロトコルの割合が、拡大し続けているからです。 2021年、DeFiプロトコルは、犯罪活動に関わるアドレスから送金された全資金の19%を受け取っていました。2022年に入ると、それが69%にまで増加し、不正資金の最大の受け手になっています。この理由の1つは、DeFiプロトコルを使用すると、ユーザー同士が異なる暗号資産間で取引することが可能になり、資金の移動の追跡がより困難になるからです。また中央集権型のサービスとは異なり、多くのDeFiプロトコルが、ユーザーから本人確認(KYC)情報を取得せずにその機能を提供しているため、犯罪者を惹きつける要因になっています。Chainalysisは先頃、「Chainalysis…
本ブログは、「2022年暗号資産関連犯罪レポート」 の調査結果に基づいて記述されたものです。 こちらからサインアップしてレポートをダウンロード頂けます。 2021年は、デジタル犯罪者にとって大きな成果が達成された年となり、32億ドル相当の暗号資産が盗み出されました。しかし2022年は、さらなる規模の盗難が進行しつつあります。 ハッカー達は、今年最初の3ヶ月間だけで、取引所、プラットフォーム、民間企業から13億ドルを盗み出しています。そして、その被害の対象はDeFiに大きく偏っています。 2022年最初の3ヶ月に盗まれた全暗号資産の97%が、DeFiプロトコルからのもので、これは2021年の72%、2020年の30%から、さらに拡大しています。 攻撃手段として脆弱性攻撃が増える一方、セキュリティ侵害も依然として発生 過去、暗号資産のハッキングの多くは、ハッカーが被害者の秘密鍵にアクセスするというセキュリティ侵害によって生じたものでした。これは、暗号資産におけるピッキングと言ってもよいでしょう。Ronin Networkから6億1,500万ドル相当の暗号資産が盗み出された、2022年3月に発生した侵害行為は、この手口が依然として有効であることを証明しています。 Chainalysisのデータもこの事実を示しています。2020年から2022年の第1四半期の間に、セキュリティ侵害によって、総暗号資産価値の35%が盗難にあっているのです。 備考:「不明」のラベルは、ハッキングのタイプに関する情報が未公開であることを意味します。「その他」のラベルは、ハッキングのタイプは分かっているが、Chainalysisが定義するカテゴリーに該当しないものを指します。 しかし、特にDeFiプロトコルの場合には、通常、盗難の最大の原因はコードの誤りによるものです。Roninに対する攻撃を別にすれば、盗難にあった資産価値の大半が、暗号資産の価格操作を行う脆弱性攻撃やフラッシュローン攻撃によるものとなります。 脆弱性攻撃が発生する理由は様々です。その1つとして、分散化と透明性というDeFiの理念において、オープンソースによる開発がDeFiアプリケーションを支える重要な要素となっている点を挙げることができます。これは、ある意味で極めて重要です。DeFiプロトコルは人間の介在なしに資金を移動させるため、プロトコルが信頼を得るためには、ユーザーがコードを監査できるようになっている必要があるのです。しかし、それは同時に、スクリプトを事前に十分解析して脆弱性を発見し、悪用することができるサイバー犯罪者にとってもメリットとなるのです。 例えば、昨年発生したBadgerDAOに対するハッキングのケースでは、ハッカーが攻撃の数ヶ月前にコードの脆弱性や、ロンダリングの手順をテストしていました。 一方、フラッシュローン攻撃は、DeFiプラットフォームが不安定な価格オラクルに依存していることが原因で発生しているケースが見られます。 オラクルはプラットフォーム上の全ての暗号資産の正確な価格データを維持する役割を担っていますが、これは決して容易ではありません。オラクルが安全であっても、処理が遅ければアービトラージ(裁定取引)に対して脆弱となり、逆に高速でも安全でなければ、価格操作に対して脆弱となります。後者の場合はフラッシュローン攻撃につながり、実際に2021年にはDeFiプラットフォームで3億6,400万ドルという膨大な金額が引き出されました。例えばCream Financeに対するハッキングでは、CreamがyUSDの「pricePerShare」変数を計算する際の脆弱性を突くフラッシュローンによって、攻撃者がyUSDの価格を正価の2倍に膨らませて株を売ることで、わずか一晩で1億3,000万ドルを稼ぎ出すことに成功しています。 このような不正確な価格オラクルと悪用可能なコードという2つのリスクは、いずれについてもセキュリティ対策が必要であることを強く示唆しています。しかし幸いなことに、これらに対しては解決策があります。Chainlinkのような分散型価格オラクルの場合には、プラットフォームを価格操作攻撃から保護し、価格設定の正確性を確保することができます。スマートコントラクトのセキュリティを確保するためには、よくあるハッキングの対象となりやすい再入可能性や未処理の例外、そして取引順序の依存関係などがあるコードを監査してプログラムの強化を図ります。 しかし、コード監査は万能ではありません。30%近くの脆弱性攻撃は、前年に監査を実施したプラットフォームで発生しており、驚くべきことにその73%がフラッシュローン攻撃でした。これは、コード監査に潜在する2つの欠点を浮き彫りにしています。 スマートコントラクトの脆弱性にパッチを適用するケースもありますが、全てではありません。 プラットフォームの価格オラクルが改ざんされない保証はどこにもありません。…
※本レポートは、今後発表予定の「The Chainalysis 2022 Crypto Crime Report」の一部要約の和訳です。 北朝鮮のサイバー犯罪者にとって、2021年は過去最高の成果を記録した年となりました。暗号資産プラットフォームに対して少なくとも7回の攻撃が行われ、約4億ドル相当のデジタル資産が引き出されました。これらの攻撃では、投資会社や中央集権型取引所(CEX:Centralized Exchange)が主な標的となり、フィッシングや脆弱性攻撃、マルウェア、高度なソーシャルエンジニアリングを使って、インターネットに接続されたホットウォレットの資金を北朝鮮の管理下にあるアドレスに流出させました。一旦、北朝鮮が資金を保管できるようになると、隠蔽や換金に向け慎重にロンダリング操作が開始されます。 多くのセキュリティ・リサーチャーは、このような複雑な戦術やテクニックが使われている状況を踏まえ、北朝鮮のサイバー攻撃者を持続的標的型攻撃(APT:Advanced Persistent Threat)の使い手と見なしています。これは、米国および国連が朝鮮人民軍総参謀部偵察局(Reconnaissance General Bureau)と認知する北朝鮮の最上位の諜報機関が率いる、APT38または「Lazarus Group」として知られる組織で、顕著に見られる攻撃手法となります。本レポートでは、これらの攻撃者を北朝鮮に関係したハッカーと言及していますが、実際にはこうした攻撃の多くがLazarus Groupの手によるものと考えられます。 当初、Lazarus Groupは、ソニー・ピクチャーズへの攻撃やランサムウェア「WannaCry」で悪名を馳せましたが、その後は非常に収益性の高い戦略として暗号資産犯罪に特化するようになっています。2018年以降、Lazarusは毎年のように2億ドルを超える多額の暗号資産を窃取し、ロンダリングを行ってきました。こうしたハッキングの成功例としては、KuCoinやその他の暗号資産取引所に対するものがあり、それぞれの被害金額は2億5,000万ドル以上に上っています。国連安保理は、これらのハッキングによって得られた収益が、北朝鮮の大量破壊兵器や弾道ミサイルの開発に使用されているとしています。 北朝鮮のハッキング活動は、2021年に再び活性化しました。2020年から2021年にかけて、北朝鮮に関連するハッキング数は4件から7件に跳ね上がり、それに伴う流出価値も40%上昇しました。 興味深いのは、北朝鮮によって窃取された暗号資産内でビットコインの占める割合が、ドルベースで言えば1/4未満に過ぎなかった点です。2021年に窃取された資金の内、ビットコインはわずか20%で、22%がERC-20トークンまたはアルトコインのいずれかでした。そしてEtherが初めて大半を占め、窃取された資金の58%となりました。 窃取対象の暗号資産が多様化することで、北朝鮮の暗号資産ロンダリング操作も必然的に複雑化しています。現在、北朝鮮の典型的なロンダリング操作は次のような手順になっています。…